Успешный su для пользователя корнем в /var/log/auth.log
Вместо Соляриса 10, Linux/ZFS-fuse или FreeBSD, я использовал бы последний dev opensolaris, сборка (создайте 134 с сегодняшнего дня), который имеет более актуальный код ZFS, включенный для диагностирования, какова проблема могла бы быть. Отправьте вывод "zfs, заставляют всю 'невидимую файловую систему'" видеть то, что свойство могло бы предотвратить некоторых из них для разоблачения.
Если вы не можете найти источник запусков su , auditd будет отслеживать их для вас. См. Здесь: https://superuser.com/a/222924
Здесь говорится, что программа входа в систему запускается пользователем root. Когда пользователь открывает сеанс, он открывается с правами root, затем root отправляет этому пользователю su-es, что согласуется с вашими записями в журнале (root становится пользователем через su)